Kape: Früher Adware, heute VPNs und Reviewseiten
Im Internet tummeln sich viel VPN-Anbieter und etliche Seiten, die diese bewerten. Doch schaut man genauer hin, gehören etliche VPN-Anbieter und Bewertungsseiten dem gleichen Unternehmen: Kape. Dieses ist obendrein umstritten.
Kape selbst beschreibt sich als(öffnet im neuen Fenster) "führenden Anbieter von Software für digitale Sicherheit, bei dem der Datenschutz im Vordergrund steht." Allerdings hat das israelische Unternehmen früher - als es noch Crossrider hieß - ungefähr das Gegenteil davon getan: Es stellte eine Entwicklungsplattform für Adware bereit. Zudem hatte einer der Gründer gute Beziehungen zum Geheimdienst Unit 8200(öffnet im neuen Fenster) , dem israelischen Äquivalent zu NSA und GCHQ.
Die Werbesoftware kam im Bundle(öffnet im neuen Fenster) mit verschiedenen Apps, beispielsweise einem verseuchten Flash-Installer, und infizierte Browser wie Chrome, Firefox oder Internet Explorer unter Windows, aber auch unter MacOS. Anschließend tauschte die Software beispielsweise die Startseite, Suchmaschine oder angezeigte Werbung aus. Teils ließen sich die Einstellungen auch nach einer Deinstallation der Adware nicht wieder rückgängig machen.
Kape kaufte Cyberghost, Zenmate, Private Internet Access und ExpressVPN
2017 kaufte Crossrider den VPN-Anbieter Cyberghost für 10 Millionen US-Dollar. "Während Cyberghost sich vom ersten Tag an auf Datenschutz und Sicherheit konzentrierte, begann Crossrider als ein Unternehmen, das Browsererweiterungen vertrieb und Ad-Tech-Produkte entwickelte. Genau das Gegenteil von dem, was wir gemacht haben," schrieb Cyberghost in einem Blogeintrag(öffnet im neuen Fenster) anlässlich der Übernahme.
Im Jahr darauf benannte sich Crossrider in Kape Technologies um und begann, sich als privatsphärefreundliches Unternehmen zu inszenieren. Laut Kape-CEO Ido Erlichman(öffnet im neuen Fenster) war die Namensänderung der Versuch, sich von den kontroversen "vergangenen Aktivitäten" zu distanzieren.
Ebenfalls 2018 kaufte Kape den VPN-Anbieter Zenmate für 5 Millionen US-Dollar, im darauffolgenden Jahr den VPN Private Internet Access (PIA) für 127 Millionen US-Dollar - einer der großen VPN-Anbieter auf dem Markt. Zu PIA gehört auch das IRC-Netzwerk Freenode, dessen Betreiber sich nach Konflikten mit PIA im Mai 2021 zurückgezogen haben. Im Jahr 2021 erwarb Kape dann ExpressVPN für knapp eine Milliarde US-Dollar.
Kape kauft VPNmentor und Wizcase
Passend zu den VPN-Anbietern erstand Kape auch eine Reihe von VPN-Review-Webseiten, wie das Onlinemagazin ZDnet berichtet(öffnet im neuen Fenster) . Im Mai 2021 übernahm Kape die israelische Firma Webselenese. Zu ihr gehören die beiden bekannten VPN-Review-Webseiten VPNmentor.com und Wizcase.com.
VPNmentor listet in seinen Top 5 des Monats Oktober 2021 sowie unter den besten VPNs des Jahres 2021 auf den ersten drei Plätzen Anbieter, die seiner Mutterfirma Kape gehören: ExpressVPN, Cyberghost und Private Internet Access. Gleiches gilt für Wizcase. Ein Schelm, wer Böses dabei denkt.
Die meisten Internetnutzer brauchen kein VPN
Dabei steht und fällt der Privacy-Gewinn bei einem VPN-Anbieter mit dem Vertrauen, das diesem entgegengebracht werden kann. Denn als Nutzer leitet man üblicherweise seine Internetverbindung durch das VPN und gibt dadurch alle Webseitenaufrufe an den Anbieter weiter. Daher versprechen VPN-Anbieter üblicherweise, diese nicht mitzuloggen oder zu analysieren.
Es gibt jedoch immer wieder Fälle, in denen Logs von VPN-Anbietern , die angeblich keine Daten loggen, in Ermittlungsverfahren genutzt werden. 2011 wurde ein Mitglied der Hackergruppe Lulzsec mithilfe von Logs des VPN-Anbieters Hidemyass für einen Hack von Sony überführt .
2016 nutzten US-Ermittler Daten des Anbieters IPVanish in einem Fall von Kindesmissbrauch(öffnet im neuen Fenster) , 2017 überführte das FBI einen Cyberstalker(öffnet im neuen Fenster) - mithilfe von Logs des Anbieters PureVPN. PureVPN versuchte, den Vorfall damit zu erklären(öffnet im neuen Fenster) , dass es verschiedene Arten von Logs gebe und sein Versprechen sich nur auf einen Teil der Logs bezogen habe.
Das Vertrauen ist also meist fehl am Platz, gleich zweimal bei einem Unternehmen, dessen Gründer früher beim Geheimdienst gearbeitet hat und das Geld mit Adware verdiente. Letztere war noch bis ins Jahr 2019 aktiv, also lange, nachdem das Unternehmen in Kape umbenannt wurde und seinen Fokus auf Privatsphäre postulierte.
Dass der Anbieter obendrein noch scheinbar unabhängige VPN-Bewertungsportale gekauft hat, bei denen seine Produkte die Bestenlisten anführen, setzt dem Ganzen die Krone auf. Dabei ist der Privatsphäregewinn durch VPNs ohnehin fragwürdig. Ein VPN allein tauscht nur die IP-Adresse aus, gegen das klassische Tracking im Netz, beispielsweise per Cookie oder Fingerprinting , hilft dies nichts.
Erst recht nutzt es nichts, wenn man sich bei Diensten wie Facebook oder Google anmeldet, denn dann wissen die Unternehmen ohnehin, wer man ist, und erkennen einen wieder. Entsprechend muss man eher andere Ansätze verfolgen, um Privatsphäre im Internet zu erlangen.
Sicherheitsgewinn durch VPNs gering
Auch der viel beworbene Sicherheitsgewinn durch die VPN-Verschlüsselung ist heutzutage mau , denn die VPNs verschlüsseln lediglich die Verbindung zum Server des VPN-Anbieters. Zwischen dem Server des VPN-Anbieters und dem Ziel können die Daten weiterhin mitgelesen werden, wenn sie nicht auf andere Weise geschützt sind.
Eine vollständige Verschlüsselung zwischen Absender und Ziel einer Internetverbindung lässt sich nur realisieren, wenn diese Verschlüsselung zwischen Client und Server ausgehandelt wird. Genau das passiert heute auch meist: Die Mehrzahl der Webseiten wird über HTTPS mit einer TLS-Verschlüsselung ausgeliefert und ist damit vor mitlesenden Dritten und auch vor Manipulation der Daten geschützt. Verbleibenden Risiken kann man durch HSTS begegnen, was gewährleistet, dass unverschlüsselte HTTP-Verbindungen nicht mehr möglich sind.
Besonders einfach kann man sich über den HTTPS-Only-Mode im Firefox oder Chrome schützen. Dieser sorgt dafür, dass der Browser nur noch verschlüsselte Verbindungen zu Webseiten akzeptiert.
Insofern ergibt ein VPN allein aus einer Sicherheits- als auch Privatsphäreperspektive keinen Sinn, vielmehr muss er in ein ganzheitliches Sicherheits- und Privatsphäresystem eingebettet und obendrein vertrauenswürdig sein. Wer ohne großes Zutun anonym im Internet surfen möchte, kann dies ohne viel Aufwand, aber mit deutlichen Geschwindigkeitseinbußen mit dem Tor Browser über den Anonymisierungsdienst Tor tun.
Wer zudem seine Sicherheit erhöhen möchte, kann sich unsere Ratschläge zum Schutz vor Staatstrojanern ansehen. Wer etwas für seine Privatsphäre tun möchte, kann unseren Beitrag zu einem Leben ohne Google zu Rate ziehen.
Nachtrag vom 16. November 2021, 13:07 Uhr
Crossrider hat nicht selbst Adware entwickelt, sondern Entwicklungstools und eine Monetarisierungsplattform hierfür bereitgestellt. Wir haben den Text entsprechend präzisiert.